L'idea di valute digitali distribuite in una rete decentralizzata, protette tramite principi crittografici e teorici del gioco piuttosto che la fiducia, è stata oggetto di discussione in cerchie ristrette di appassionati per decenni prima di essere formalizzata per la prima volta da David Chaum [Cha82]. Tra quel periodo e l'introduzione di Bitcoin [Nak08] nel 2008, numerosi ricercatori [Cha82; LSS96; Wei98; VCS03; Sza05] del settore hanno tentato di proporre un protocollo per una valuta digitale credibile con il riconoscimento generale.
Il primo grande balzo nel mainstream è avvenuto con il rilascio del whitepaper di Bitcoin [Nak08], che ha aperto una nuova era di ricerca e entusiasmo. Costruito su un nuovo registro digitale chiamato "blockchain" e protetto da un protocollo di consenso Proof-of-Work, ispirato da [DGN04] e [Bac02], Bitcoin è diventato la prima valuta digitale veramente decentralizzata, ispirando lavori su altre applicazioni decentralizzate, come DNS decentralizzato [Nam11] e macchina di stato distribuita [Woo19]. Presto dopo il rilascio di Bitcoin, i ricercatori hanno iniziato a scoprire numerosi problemi precedentemente ignoti ai creatori di Bitcoin. [KCW13; ES18; GKL15; SSZ17; PSS17; Bon16] hanno scoperto carenze nelle assunzioni esplicitate nel whitepaper di Bitcoin riguardo al protocollo di consenso e al modello economico. Inoltre, il documento [RS12] pubblicato da Ron e Shamir è stato il primo di molti a dimostrare la facilità di analisi delle transazioni e la mancanza di anonimato mantenuta dagli utenti di Bitcoin.
Il problema del consumo eccessivo di energia necessario per mantenere le garanzie di sicurezza dei dati memorizzati nel registro è stato un altro punto di controversia per il protocollo Bitcoin. Negli anni, diversi ricercatori hanno affrontato il problema con varie soluzioni, la maggior parte delle quali si basava sul concetto di "un voto per azione" invece di "un voto per CPU". Il concetto di Proof-of-Stake è stato formalizzato per la prima volta nel whitepaper di Peercoin [KN12], seguito da [Ben+14; BG17]. Un approccio più formale è stato adottato da [DPS16; Kia+17; Dav+18]. I protocolli citati sopra appartengono a una famiglia di protocolli Proof-of-Stake basati su catena, che emulano essenzialmente la famiglia di protocolli Proof-of-Work mantenendo assunzioni di sicurezza simili. Il difetto della finalità probabilistica dei protocolli basati su catena è stato affrontato da Algorand [Mic16], che ha utilizzato diverse tecniche innovative per garantire una finalità istantanea mantenendo la "senza permessi" del protocollo sottostante. Sfortunatamente, il protocollo presentava anche i suoi svantaggi, principalmente legati alle assunzioni di sicurezza (è richiesto che il 67% dell'offerta circolante sia onesta e partecipi all'esecuzione del consenso) nonché alle dimensioni del comitato (2000+) e dei certificati.
Comprendendo l'importanza dell'anonimato, i ricercatori hanno iniziato a lavorare su tecniche per trasformare Bitcoin in un protocollo che preserva l'anonimato. L'idea iniziale era utilizzare mixer, servizi fidati che
3 combinano gli input e gli output di più utenti in una singola transazione. Gli svantaggi del servizio erano la dipendenza dalla fiducia, nonché la mancanza di oscuramento degli importi coinvolti. Il primo rinnovato interesse per le valute digitali che preservano l'anonimato è stato seguito dalla pubblicazione di [Sab13; Hop+19; Max15; NMM16; Poe16; Fau+18; Bun+19], che hanno affrontato il problema con approcci diversi e risultati differenti. L'aumento dell'interesse ha portato a numerosi progetti, come Monero e Zcash, che sono diventati popolari con la preservazione dell'anonimato come principale punto di vendita.
2 I nostri contributi
Le nostre contribuzioni includono lo sviluppo di un nuovo protocollo Private Proof-of-Stake (da discutere più approfonditamente nella Sezione 5.3), un protocollo Proof-of-Stake senza permessi con garanzie di finalità statistica (Sezione 5), una macchina virtuale quasi-Turing completa con capacità di verifica di prove zero-knowledge (Sezione 6) e una transazione basata su account che preserva la riservatezza
